Microsoft hat eine Waffe in seinem Arsenal zur Bekämpfung von Cyberangriffen enthüllt: den Einsatz von Honeypots, die attraktive Online-Ressourcen und simulierte Aktivitäten schaffen, um Cyberkriminelle in ihr Netz zu locken.
Ross Bevington, ein im Vereinigten Königreich ansässiger Sicherheitssoftware-Ingenieur bei Microsoft, der sich selbst als Microsofts „Head of Deception“ bezeichnet, spricht von „hybriden Honeypots mit hoher Interaktion“.
Diese Honeypots können gegen nationalstaatliche Gruppen ebenso wirksam sein wie gegen einfache Hacker.
Honeypots sind trügerische Cybersicherheitstechnologien, die Kriminelle in eine kontrollierte Umgebung bringen. So können Security-Teams ihre Aktivitäten überwachen, ihre Techniken analysieren und eventuell ihre Operationen stoppen.
Heute untersucht Techopedia die Honeypot-Taktik von Microsoft und spricht mit Branchenexperten über die Vor- und Nachteile von Angriffen durch Tech-Giganten.
Wichtigste Erkenntnisse
- Microsoft setzt aktiv Honeypots ein, um Cyberkriminelle direkt anzugreifen, und demonstriert damit einen proaktiveren Ansatz für die Cybersicherheit.
- Es besteht ein wachsendes Interesse an täuschungsbasierten Sicherheitslösungen, die die Operationen von Angreifern erheblich stören und wertvolle Informationen liefern können.
- Auch wenn Honeypots ein mächtiges Werkzeug sein können, müssen Unternehmen die rechtlichen und ethischen Implikationen berücksichtigen, insbesondere im Hinblick auf den Datenschutz und die gesetzlichen Konsequenzen.
- Täuschung kann wirksam sein – in Verbindung mit traditionellen Sicherheitsmaßnahmen.
Leiter von Microsoft Deception enthüllt neue Honeypots-Taktik
Sicherheitsexperten, die an das Potenzial von Honeypots glauben, stellen diese Fallen auf … und warten. Aber Bevington ist kein wartender Experte.
Auf der BSides Exeter, einer für ihre Cybersecurity-Konferenz im britischen Exeter bekannten Organisation, sprach er in einer Videopräsentation über Microsofts aggressivste Honeypot-Strategien.
Bevington nutzt die von Microsoft gesammelten Informationen, identifiziert täglich Hunderttausende von aktiven Phishing-Seiten und meldet sich bei kriminellen Infrastrukturen an, die bestimmte Kriterien erfüllen.
Angreifer, die in die Falle tappen – etwa 5 % – werden dann akribisch verfolgt und geben ihre Taktiken, Techniken, Technologien und Netzwerke preis.
John Hammond, leitender Sicherheitsforscher bei Huntress, einem Cybersicherheitsunternehmen, erklärte gegenüber Techopedia, dass eine kleine, aber wachsende Zahl von Sicherheitslösungen auf der Grundlage von Cybertäuschung, wie CounterCraft, Thinks Canary, CyberTrap und andere, als Software für größere Plattformen verfügbar sind.
„Einige Sicherheitsteams verzichten auf den Einsatz von Täuschungsmechanismen, weil sie sich noch nicht bewusst sind, wie effektiv sie sein können.“
„Ich stimme voll und ganz zu, dass es einen erheblichen Bedarf an auf Täuschung basierenden Sicherheitsmechanismen gibt, weil sie, offen gesagt, so gut gegen Angreifer funktionieren.“
„Wenn die Täuschung in einer Umgebung eingesetzt wird, können die Bedrohungsakteure wirklich verängstigt sein, weil sie nicht wissen, worauf sie vertrauen können.“
Auch Victor Acin, Head of Threat Intel bei Outpost24, einer Plattform für Cybersecurity-Risikomanagement, sprach mit Techopedia über täuschungsbasierte Sicherheitslösungen. Allerdings wies er auf ein inhärentes Risiko hin.
„Letzten Endes gibt man bewusst einen Teil seiner Infrastruktur preis, damit Angreifer tatsächlich in sie eindringen können“, so Actin.
„Das könnte zwar sehr interessante Erkenntnisse über die Täter geben und die Sicherheitsteams alarmieren, aber ein Fehler könnte bedeuten, dass der Einbruch zu einem ernsthaften Vorfall wird.“
Ethische Überlegungen zur aggressiven, proaktiven Cybersicherheit
Einige im privaten Sektor tätige Sicherheitsexperten sind der Ansicht, dass Honeypots aus ethischen Gründen zu prüfen sind, da diese Techniken nicht nur von Cyberkriminellen, sondern auch von aggressiven Akteuren eingesetzt werden.
Thi Tran, Assistenzprofessor für Management-Informationssysteme mit Spezialisierung auf Cybersicherheitsforschung an der Binghamton University, sagte:
„Technisch gesehen wird dieser Ansatz eher von Cyberkriminellen als von Cybersicherheitsbehörden, -beauftragten oder -experten verwendet.“
Allerdings erkannte Tran, dass Honeypots und trügerische Sicherheit Unternehmen dabei helfen können, durch Simulationen eine bessere Cybersecurity-Kultur zu schaffen und gleichzeitig CISOs mit den Informationen zu unterstützen, die sie zur Sicherung der digitalen Angriffsfläche ihrer Organisation benötigen.
Erfordert der globale Cybersecurity-Sturm eskalierte Maßnahmen?
Der aktuelle Microsoft Digital Defense Report 2024 zeigt das schockierende Ausmaß der heutigen Bedrohungen.
Der Bericht ergab, dass Microsoft-Kunden täglich 600 Millionen Attacken von Nationalstaaten, Ransomware-Banden und Identitätsangriffen ausgesetzt sind.
Vielleicht ist es nur natürlich, dass sich Top-CISOs und führende Sicherheitsteams auf der ganzen Welt fragen: Ist es an der Zeit, in die Offensive zu gehen? Wir haben diese Frage an Acin von Outpost24 gestellt.
„Dies hängt von der Art der Organisation und ihrer Risikobereitschaft ab. Angesichts des Ausmaßes und der Raffinesse der heutigen Cyberbedrohungen wird eine aggressive, auf Täuschung basierende Sicherheit immer wichtiger.“
„Diese Lösungen können nicht nur höchst effektiv bei der Verlangsamung von Angreifern sein – die Täuschung sollte auch sorgfältig umgesetzt werden, um unbeabsichtigte Folgen, wie rechtliche oder betriebliche Risiken, zu vermeiden.“
Im Gegensatz dazu erklärte Assaf Morag, Director of Threat Intelligence von Aqua Nautilus bei Aqua Security, gegenüber Techopedia, dass die auf Täuschung basierende Sicherheit möglicherweise nicht die Antwort auf den Zustand der globalen Bedrohungen ist.
„Was Microsoft tut, ist erstaunlich und inspirierend im Kampf gegen Phishing-Kriminalität, aber es ist nur ein Werkzeug von vielen.“
„Ich denke, dass nur die Zusammenarbeit zwischen den Nationen, einschließlich einer möglichen globalen Strafverfolgung, dieses Problem lösen kann.“
Hammond von Huntress ist dagegen der Meinung, dass Organisationen eine stärkere Haltung einnehmen und proaktive Maßnahmen ergreifen sollten.
Hammond sagte, dass selbst eine einfache gefälschte „passwords.txt“-Datei, die Alarm schlägt, wenn auf sie zugegriffen wird, ein nützliches Werkzeug für Sicherheitsteams sein kann.
„Richtig gemacht, können diese betrügerischen Bemühungen den Spieß für die Bedrohungsakteure wirklich umdrehen.“
Gesetzeskonformität bei der Einrichtung von Honeypots
Obwohl Honeypots und andere betrügerische Technologien nicht illegal sind, müssen Unternehmen, die sie einsetzen, die rechtlichen und ethischen Standards in den USA, Europa und anderen Regionen berücksichtigen.
Honeypot-Konzepte müssen so entwickelt werden, dass sie den Anforderungen von Gesetzen wie der Allgemeinen Datenschutzverordnung (GDPR) der EU oder den Datenschutzvorschriften in den USA entsprechen.
Darüber hinaus können Sektoren wie das Gesundheitswesen Honeypots zur Sicherung elektronischer geschützter Gesundheitsinformationen (ePHI) verwenden, doch müssen diese Technologien unter den Health Insurance Portability and Accountability Act (HIPAA) fallen.
Auch andere Branchen haben bestimmte Anforderungen, wie z. B. die Bundesauftragnehmer, die sich an die Vorgaben des Staates halten müssen.
Darüber hinaus tragen die Sicherheitsteams auch direkte Verantwortung, z. B. für die Meldung von Straftaten an die Behörden, die Gewährleistung der Sicherheit der nachgelagerten Bereiche und der Integrität Dritter sowie den Schutz personenbezogener Daten.
Laut Dr. Johannes Ullrich, Dean of Research am SANS Institute, das Cybersicherheitspraktiker und -teams mit Schulungen, Zertifizierungen und Abschlüssen ausstattet, bieten Honeypots eine großartige Quelle für hochgradig umsetzbare Warnmeldungen mit geringem False-Positive-Anteil, aber bisher wird die Täuschung von den meisten Compliance-Regelungen nicht berücksichtigt.
„Der Einsatz von bekanntermaßen schwach konfigurierten und anfälligen Assets kann als Verstoß gegen viele Compliance-Regelungen angesehen werden“, so Dr. Ullrich.
„In diesen Situationen wird ein Honeypot jedoch oft wie jedes andere System im Einklang mit den Compliance-Richtlinien konfiguriert, mit der Ausnahme, dass es keinem Geschäftszweck dient.“
Nach Ansicht von Tran von der Binghamton University hängt die Effektivität des Einsatzes von Honeypots, Honeynets oder anderen Begriffen wie Canaries von der Komplexität der Situation, der Realitätsnähe der gefälschten Objekte oder Ziele und der Ausbildung der Cyberkriminellen ab.
„Laut Microsoft tappen nur 5 % der anvisierten Phishing-Seiten tatsächlich in die Falle, das sind etwa 250 Seiten täglich“, so Tran.
„Aufgrund der geringen Erfolgsquote muss dieser Ansatz für eine bessere Leistung mit anderen kombiniert werden.“
Unternehmen müssen alle einschlägigen Cyber-Gesetze, Vorschriften und lokalen Richtlinien sorgfältig prüfen, um spätere unerwünschte rechtliche Probleme zu vermeiden. Doch damit sind die Überlegungen noch nicht zu Ende.
Wie Tran erläuterte, sind auch Cyberkriminelle Menschen, die Menschenrechte und Rechte auf Privatsphäre haben.
„Der Umgang mit ihren Datenschutz- und anderen Menschenrechten ist besorgniserregend, vor allem, wenn sie nach dem langen Prozess der formalen digitalen Forensik und der Anklagen noch nicht offiziell als Kriminelle bekannt sind.“
Fazit
Honeytraps und andere betrügerische Technologien, von denen die meisten nicht neu sind, gewinnen wieder an Bedeutung.
Während einige dafür plädieren, dass jedes Unternehmen und jede Organisation diese kostengünstigen Verteidigungsmittel einsetzt, erklären andere Experten, dass sie nur bei richtiger Anwendung funktionieren.
Inzwischen haben sich die Sicherheitstechnologien weiterentwickelt, und es sind neue Sicherheitstaktiken für die Verteidigung entstanden.
Dennoch bleiben die technischen, rechtlichen und ethischen Herausforderungen von Honeypots gleich. Täuschende Sicherheit war noch nie Mainstream. Sie operiert weiterhin im Verborgenen und in den Händen einiger weniger.